Dans une délibération du 31 janvier 2024, la Commission Nationale de l’Informatique et des Libertés (en abrégé CNIL, l’autorité de protection des données française, l’équivalent de l’Autorité de Protection des Données ici en Belgique) fait quelques rappels très utiles dans le cadre de l’acquisition de données auprès de courtiers et, de manière plus générale, sur la prospection commerciale et le RGPD.
Tout d’abord, et contrairement aux idées reçues, l’achat de données auprès de courtiers n’est pas interdit par le RGPD. Il doit toutefois répondre à des conditions strictes liées, notamment, à la transparence.
Si ces obligations légales ne sont pas respectées, la sanction peut être lourde. En l’espèce, la société FORIOU a écopé d’une amende de 310.000 €.
📁 Les faits à l’origine de la décision
En résumé, la société FORIOU opérait du démarchage téléphonique auprès de prospects.
Pour identifier ses prospects, la société FORIOU se fournissait auprès de courtiers qui organisaient, à intervalles très réguliers, des jeux et concours sur internet et des promotions commerciales.
Ces courtiers collectent ainsi des données à caractère personnel et les revendent, notamment à des fins de prospection commerciale.
Ces questionnaires en ligne et ces formulaires de participation reprenaient bel et bien diverses mentions obligatoires liées au RGPD mais la CNIL a estimé, à l’instar de ce que l’on considère en termes de cookies notamment, que la manière de présenter les informations (couleurs, texte, etc.) était très discutable et que dans cette mesure, le consentement originaire de la personne concernée n’était pas valable.
Voici un exemple de formulaire ne permettant pas de collecter valablement des données à caractère personnel :
En bref, l’apparence des formulaires utilisés par les courtiers en données ne permet pas de collecter le consentement éclairé des utilisateurs, conforme aux obligations légales liées au RGPD.
Par voie de conséquence, la société FORIOU n’avait pas de base légale pour prospecter sa clientèle.
Pour rappel, il y a plusieurs bases légales possibles (mais pas illimitée) : le consentement, l’intérêt légitime, l’exécution d’un contrat, par exemple.
En l’occurrence, la base légale du consentement a été rejetée par CNIL, considérant que celui-ci n’avait pas été recueilli validement auprès des personnes concernées.
📝 Un contrat c’est bien, mais il doit être effectif en pratique
Un autre point intéressant de cette décision concerne l’aspect contractuel.
En effet, la société FORIOU invoquait le fait qu’elle disposait d’un contrat en bonne et due forme avec le courtier de données.
Il a toutefois été considéré que même si la société FORIOU avait imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval.
🔎 Que faut-il retenir ?
Tout d’abord, bien identifier et valider la base légale du traitement de données (consentement, intérêt légitime, exécution d’un contrat, etc.). Cela se fait en général dans le registre des traitements.
Ensuite, il faut s’assurer que le transfert de données est bel et bien contractualisé et que le contrat est mis en pratique. En qualité de responsable de traitement, il faut aller plus loin que le contrat et s’assurer que son partenaire le respecte en pratique.
Enfin, en termes de transparence, s’assurer que le jeu de couleurs, le texte, la police, l’utilisation des boutons, etc. respectent les principes de transparence et évitent d’influencer l’utilisateur.
Un doute sur la légalité de vos traitements ?
Consultez la décision de la CNIL ici
Cet article vous a plu ? Consultez son auteur :